Hydra Android-троян

Android-троян Hydra уже некоторое время используется в кампаниях активных атак, поскольку первые образцы этой угрозы были обнаружены еще в 2019 году. С тех пор угроза прошла через несколько версий, и ее угрожающие возможности несколько раз расширялись. Однако основная цель троянца Hydra Android осталась прежней - сбор учетных данных жертвы для банковских или финансовых услуг.

Последняя кампания по развертыванию троянца Hydra Android была обнаружена исследователями кибербезопасности из MalwareHunterTeam и Cyble. Угрожающая операция нацелена на европейские платформы электронного банкинга и, в частности, на клиентов Commerzbank, второго по величине банка Германии.

Вредные функции

Угроза распространяется через веб-сайт-приманку, на котором распространяются троянизированные приложения Commerzbank. После развертывания на устройстве жертвы троянец Hydra Android запрашивает несколько важных разрешений. Во-первых, ему нужен доступ к службе специальных возможностей Android. Это законная фоновая служба, которая была реализована, чтобы помочь людям с ограниченными возможностями более комфортно управлять своими устройствами Android. Однако угроза использует службу для отслеживания и перехвата всех действий, происходящих на экране устройства. Это позволяет им видеть учетные данные, введенные жертвой в других приложениях.

Второе разрешение, требуемое угрозой, - BIND_DEVICE_ADMIN. Он предоставляет права администратора Hydra и позволяет выполнять множество агрессивных действий, таких как блокировка устройства, изменение PIN-кода блокировки экрана и многое другое. Вредоносная программа может выполнять дополнительные действия, включая доступ или отправку SMS, совершение звонков, отправку сообщений в список контактов жертвы и т. Д.

Последняя версия Android-троянца Hydra также оснащена функциональностью TeamViewer, как и банковский троянец SOVA Android. Кроме того, он имеет повышенную защиту от обнаружения за счет использования нескольких методов шифрования и TOR для связи.